Problemen met benaderen PDOK services in Java applicaties (via https)

thijsbrentjens · 23 oktober 2019 om 12:25

Vanaf 19 september 2019 zijn er blijkbaar nieuwe certificaten actief voor https://geodata.nationaalgeoregister.nl.

Omdat PDOK certificaten gebruikt van de Nederlandse overheid die niet standaard via Java beschikbaar zijn, kan het zijn dat een Java applicatie de PDOK services niet meer kan benaderen via https. Dit levert fouten op als:

Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1946)

De oplossing is om aan de Java runtime van je applicatie de certificaten toe te voegen. In een ander topic (How to work with the Overheid Certificaat in Java applications) is hier al e.e.a. voor beschreven.

Hopelijk scheelt dit een lange zoektocht als je problemen ervaart met het gebruiken van de services van PDOK.

thijsbrentjens · 23 oktober 2019 om 12:27

Aanvulling: eigenlijk zou het wel mooi zijn als er, voorafgaand aan het gebruik van nieuwe certificaten, een bericht zou komen. Dan kunnen organisaties zich erop voorbereiden en werkzaamheden inplannen. @PDOKbeheer : zou dit mogelijk zijn?

copierrj · 23 oktober 2019 om 12:28

Het zou mooi zijn als Logius het voor elkaar zou krijgen de PKI overheid certificaten bij Oracle in de truststore te krijgen. Dan zou dit issue voor goed de wereld uit zijn.

thijsbrentjens · 23 oktober 2019 om 12:29

@copierrj Ja, nog beter!

Rob_PDOK · 24 oktober 2019 om 06:30

@thijsbrentjens Dit is inderdaad mogelijk.

thijsbrentjens · 24 oktober 2019 om 07:50

Mooi, bij voorbaat dank!

Just_OSGeo · 25 oktober 2019 om 11:15

Iets wellicht gerelateerd. Had tijdelijk opgelost door Kadaster certificaten (.cer files) toevoegen aan de Java keystore (Oracle Java 7, ja antiek legacy Tomcat7 met MapFish Print) met keytool. Daarna kwam ook nog dit:
https://www.pdok.nl/attenderingsservice-rss/-/asset_publisher/mvZkjafth739/content/beveiligingseisen-internetdiensten-verder-aangescherpt (TLS1.2 verplichting, jawel).

Pff en blijkbaar is het niet meer zo gemakkelijk om Oracle Java 8 op Ubuntu te installeren (met PPA van webupd8team). Een upgrade naar OpenJDK Java 8 (wie weet kan hoger), loste in een keer alle problemen op, geen keystore updates nodig zelfs. Klinkt hier lichte weerzin voor Java door ? Ach als je vandaag de dag nog Python 2 draait zul je op SSL-gebied ook e.e.a. tegenkomen.

Kreeg ook andere geluiden dat links en rechts e.e.a. omviel. Blijven upgraden is natuurlijk ook het devies. En vooral op de hoogte blijven voor fixes hier op GeoForum.nl !

rli · 28 oktober 2019 om 14:04

Ik had hetzelfde probleem aangemeld bij beheerpdok. Ik kreeg het antwoord dat als ik mijn truststore goed had ingericht dat ik dan het probleem niet zou hebben. Ik heb toen het certificaat van de staat der nederlanden geimporteerd en het oude certificaat van nationaalgeoregister verwijderd en daarna werkte alles weer. Als nationaalgeoregister zijn certificaat weer aanpast dan zou het toch moeten blijven werken totdat het certificaat van de staat der nederlanden wordt aangepast. Of ik begrijp het niet goed.